Hackerone漏洞分析:星巴克隐私数据泄露

最新推荐文章于 2024-05-06 00:00:00 发布
最新推荐文章于 2024-05-06 00:00:00 发布
阅读量636 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46236101/article/details/108942082
版权

某个沉闷的夏日午后,Sam Curry在Verizon Media公司的漏洞众测项目中尝试了快一天,啥也没发现,于是,他决定先放放,做点其它事。哦,对了,朋友生日就要到了,去星巴克官网买个礼物送给她吧。

访问星巴克官网的时候,Sam无意间发现了大量API交互,他忍不住动手测试了一把,这一测就发现了漏洞线索。在星巴克官网名为/bff/proxy/的API接口下,Sam先发现了路径/bff/proxy/orchestra/get-user可以返回自己的注册信息,之后Sam对/bff/proxy/orchestra/get-user/…/做了字典枚举,但无奈都返回了404状态。但这至少说明了,和服务端交互是可行的,接下来只需找到正确的路径即可。

Sam尝试去发现存在用户输入参数的路径,得到:

/bff/proxy/stream/v1/me/streamItems/:streamItemId

接着测试,又发现了:

/bff/proxy/stream/v1/users/me/streamItems/…\

此时的服务端响应为403,就快接近了。在添加7个…绕过WAF的URL构造后,服务端响应变为了400。最终,在与朋友Justin的合作下,柳暗花明,爆出了可访问99356059条顾客记录信息的路径:

/bff/proxy/stream/v1/users/me/streamItems/web…\search\v1\Accounts\

将近1个亿的星巴克顾客信息就这样唾手可得!

漏洞最终被评估定级为高危,收获了$4000的奖励,详细漏洞报告参见Sam博客或HackerOne。

漏洞详细信息:
Sam博客技术报告: https://samcurry.net/hacking-starbucks/

Hackerone漏洞报告: https://hackerone.com/reports/876295

扶苏゜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SRC混子的漏洞挖掘之道
m0_59598029的博客
03-13 2717
挖SRC需要有一个好心态,国内SRC生态并不是很好,SRC感觉更多的提供了一个相对安全的测试保障,所以更需要抱着一种学习的心态去挖,将我们学习的到的知识灵活运用,发现新的问题。不要想我今晚一定要挖到多少漏洞,要拿到多少奖金,不然可能会被忽略三连打崩心态。
什么是数据泄露泄露如何发生?黑客是如何处理被盗数据的?
蹦极的考拉
12-20 1619
数据泄露是指导致机密、私人、受保护或敏感信息暴露给无权访问的人员的事件。它可能是意外事件或故意行为从个人或组织窃取信息的结果。例如,员工可能会意外暴露敏感信息,或者他们可能会故意窃取公司数据并将其与第三方共享或出售给第三方。或者,黑客可能会从包含敏感信息的公司数据库中窃取信息。无论数据泄露的根本原因是什么,被盗信息都可以帮助网络犯罪分子通过出售数据或将其用作更广泛攻击的一部分来获利。数据泄露通常包括银行帐户详细信息、信用卡号、个人健康数据以及电子邮件帐户和社交网站的登录凭证等信息的丢失或被盗。
2024 年数据泄露调查报告
最新发布
网络研究观
05-06 2108
人为因素仍然是网络犯罪分子的主要切入点
2023最新SRC漏洞挖掘快速上手攻略!
2301_77732591的博客
06-07 3549
随着网络安全的快速发展,黑客攻击的手段也越来越多样化,因此SRC漏洞挖掘作为一种新的网络安全技术,也在不断发展和完善。那么,作为一个网安小白如果想要入门SRC漏洞挖掘,需要掌握哪些知识呢?以下是本人通过多年从事网络安全工作的经验,综合网络上已有的资料,总结得出的指导SRC漏洞挖掘入门的详细介绍。1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞挖掘、漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。
HackerOne 员工窃取漏洞报告,向受影响客户索取钱财
smellycat000的专栏
07-04 234
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士HackerOne 平台的一名员工窃取了通过该平台提交的多份漏洞报告,并将报告披露给受影响客户,获得经济报酬。这名员工已经联系了约6名HackerOne 客户并“在几次漏洞披露中”获得奖励。捉拿罪魁祸首6月22日,HackerOne 平台的一名客户要求调查一起可疑的漏洞披露事件,名为 “rzlr”的人员通过平台以外的通信...
商业数据分析案例:星巴克是如何优化促销活动的.docx
12-16
商业数据分析案例:星巴克是如何优化促销活动的 本文档是一个关于商业数据分析案例的研究报告,研究对象是星巴克(Starbucks),研究目标是通过数据分析来确定星巴克的优惠信息和受众之间的重要关系,并优化其促销...
星巴克分析星巴克数据分析
02-16
星巴克分析:预测某人是否会响应报价。 目录 项目动机 我很好奇如何通过使用星巴克数据集找到客户想要的首选商品。 描述 公司向客户发送要约时面临的主要问题之一是公司不知道客户会优先选择哪个要约。 因此,公司...
StarBucksAnalysis:星巴克数据分析
05-11
StarBucksAnalysis星巴克数据分析Iteration 5星巴克数据分析工具 需求5显示店铺信息用户点击查询到的店铺,弹出对话框显示店铺信息(包括店铺基本信息和评价信息)对店铺进行评分用户可以对所选择的店铺进行评分,...
全球星巴克门店的统计数据数据分析
02-17
全球星巴克门店的统计数据数据分析实战代码和文件
基于Matplotlib模块对星巴克数据分析及可视化
05-11
在本实验中,我们将利用Python的数据分析库Pandas和可视化库Matplotlib对星巴克数据进行处理和可视化。实验的目的是让学生掌握如何使用Pandas进行数据清洗、统计分析,并使用Matplotlib进行数据可视化。实验环境是...
coffee-api:星巴克咖啡菜单的模拟api,这是BeaverHacks 2021年Spring项目的一部分
04-11
咖啡API 星巴克咖啡菜单的模拟api,这是BeaverHacks 2021年Spring项目的一部分
数据泄露的原因是什么?如何保护数据安全
oldboyedu1的博客
12-13 2270
信息化时代的到来,为我们带来诸多便利,与此同时也带来了许多挑战,这其中最为常见的就是数据泄露事件,同时它也是代价最高的网络安全事件之一。②避免使用默认密码,建立设置长度在10位以上,由大小写字母、数字、特殊符号组合的符合复杂性要求的高强度密码,并定期更换,避免出现多个密码复用、无密码、弱口令状况出现,借此成为攻击者横向攻击的跳板。②设置高强度密码,并定期更换,杜绝一码多用,避免通过第三方平台登录,降低密码泄露的风险。3、违规收集:软件或者平台会过度索权,超限收集,若取消选择,则导致软件无法使用。
国外src(漏洞挖掘平台)
weixin_42109829的博客
09-19 8673
https://zhuanlan.zhihu.com/p/468705739
史上最严重网络数据泄露事件合集
PLAIDC的博客
11-15 549
尽管 LinkedIn 辩称,由于没有敏感的个人数据泄露,该事件只是违反了其服务条款,而不是数据泄露,但正如英国国家网络安全委员会(NCSC)警告的那样,God User 发布的一份抓取数据样本包含电子邮件地址、电话号码、地理位置记录、性别和其他社交媒体细节等信息,这将为恶意行为者提供大量数据,在泄密事件发生后制造令人信服的后续社交工程攻击。在同年 11 月发布的一份声明中,这家酒店巨头表示,“2018 年 9 月 8 日,万豪收到了来自内部安全工具的警告,称有人试图访问喜达屋的客人预订数据库。
通过HackerOne漏洞报告学习PostMessage漏洞实战场景中的利用与绕过
weixin_50464560的博客
08-13 1245
转载https://www.anquanke.com/post/id/219088   0x00 前言 这是一篇关于postMessage漏洞分析的文章,主要通过hackerone平台披露的Bug Bounty报告,学习和分析postMessage漏洞如何在真实的场景中得到利用的。   0x01 什么是PostMessage 根据Mozilla开发文档描述: The window.postMessage() method safely enables cross-origin comm
研究人员因在GitHub中发现星巴克的API密钥,获4000美金奖励
NOSEC2019的博客
01-02 384
星巴克开发人员的一个失误,某个API的密钥被暴露在GitHub上,攻击者可借此访问内部系统并改动授权用户列表。 该漏洞的严重级别被设置为Critical,因为该密钥可让攻击者访问星巴克的JumpCloud API。 严重影响 漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥,并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。 JumpClou...
数据泄露的12个可能后果
热门推荐
数据分析
04-24 1万+
数据泄露的12个可能后果原文:   12 Potential Consequences Of Data Breaches来源: http://dataconomy.com...
使用starbucks.csv进行星巴克数据可视化练习
05-19
好的,让我们开始吧! 首先,我们需要导入一些必要的库:Pandas、Matplotlib 和 Seaborn。...在接下来的实践中,你可以更进一步地探索和分析 Starbucks 数据集,并尝试使用其他可视化方法来展示数据

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值